Kuzey Koreli Hackerlar 308 Milyon Dolarlık Kripto Soygunuyla Bağlantılı


Mayıs 2024’te, 308 milyon dolarlık bir kripto para hırsızlığı, Federal Soruşturma Bürosu (FBI), Savunma Bakanlığı Siber Suç Merkezi (DC3) ve Japonya Ulusal Polis Teşkilatı (NPA) tarafından Kuzey Koreli Hackerlarla ilişkilendirildi. Hırsızlık, Japonya merkezli bir kripto para birimi şirketi olan DMM’yi hedef aldı ve rejim için gelir elde etmek amacıyla siber suçları giderek daha fazla kullanan Kuzey Koreli siber aktörlerin devam eden yasa dışı faaliyetlerinin bir parçasıydı.

Saldırının arkasındaki siber suçlu grubu, TraderTraitor, Jade Sleet, UNC4899 ve Slow Pisces gibi çeşitli takma adlarla takip ediliyor. Bu aktörler, kritik sistemlere erişim sağlamak için hedefli sosyal mühendislik tekniklerini kullanmalarıyla tanınıyor. Bu özel durumda, saldırganlar bir dizi dikkatlice planlanmış eylem yoluyla DMM kripto para birimi cüzdanını ele geçirdi ve sonuçta o sırada yaklaşık 308 milyon dolar değerinde olan 4.502,9 Bitcoin’in (BTC) çalınmasıyla sonuçlandı.

Saldırı: Sosyal Mühendislik ve Kötü Amaçlı Yazılım İstismarı

Kripto para hırsızlığına yol açan olaylar dizisi, Mart 2024’ün sonlarında, Kuzey Koreli bir siber aktörün, işe alım uzmanı kılığında, Japonya merkezli bir kripto para cüzdanı yazılım şirketi olan Ginco’nun bir çalışanıyla temasa geçmesiyle başladı. Ginco’nun cüzdan yönetim sistemine erişimi olan bu kişi, işe alım öncesi test olarak gizlenen kötü amaçlı bir bağlantıyla hedef alındı. Bağlantı, GitHub’da barındırılan bir Python betiğine yönlendirdi.

İletişimin meşru olduğuna inanan çalışan, Python kodunu kişisel GitHub sayfasına kopyalayarak farkında olmadan bir güvenlik ihlaline zemin hazırladı. Python betiğinde gizlenen kötü amaçlı yazılım, saldırganlara çalışanın sistemine girme olanağı sağladı. Kötü amaçlı yazılım etkinleştirildikten sonra çalışanın hesabını ele geçirerek saldırganların hassas verileri toplamasına olanak tanıdı.

Kuzey Koreli Hackerlar DMM Sistemlerine Erişti

Mayıs 2024’ün ortalarında TraderTraitor siber aktörleri, kurbanın kimliğine bürünmek için ele geçirilen çalışanın oturum çerezi bilgilerinden yararlandı. Bu onlara Ginco’nun işlemler ve şirket operasyonları hakkında kritik bilgiler içeren şifrelenmemiş iletişim sistemine erişim sağladı. Aktörler bu erişimi DMM’den gelen devam eden bir işlem talebini manipüle etmek için kullanabildiler ve sonuçta kripto para birimi fonlarını saldırganlar tarafından kontrol edilen cüzdanlara yönlendirdiler.

Hileli işlem, o sırada değeri 308 milyon dolar olan büyük miktarda Bitcoin’in (4.502,9 BTC) çalınmasını içeriyordu. Çalınan fonlar daha sonra TraderTraitor’un kontrolü altındaki cüzdanlara taşındı ve saldırganlar izlerini örtmeye devam etse de hareketleri yetkililer tarafından takip edildi.


Tarayıcınız video etiketini desteklemiyor.

Devam Eden Araştırmalar ve Uluslararası İşbirliği

FBI, DC3 ve NPA, bu olayın Kuzey Koreli siber aktörler tarafından gerçekleştirilen daha geniş bir yasa dışı faaliyet modelinin parçası olduğunu vurguladı. Bu aktörlerin, Kuzey Kore rejimini destekleyen gelir elde etmek için kripto para hırsızlığı da dahil olmak üzere siber suçlara karıştıkları biliniyor. Bu hırsızlığa ilişkin soruşturma devam ediyor; kolluk kuvvetleri ve siber güvenlik uzmanları, çalınan fonların izini sürmek ve siber aktörlerin faaliyetlerinin tüm kapsamını ortaya çıkarmak için sınırların ötesinde çalışıyor.

ABD ve Japon yetkililerin yanı sıra diğer uluslararası ortaklar arasındaki işbirliği, bu tür büyük ölçekli hırsızlıkların sorumlularının belirlenmesinde ve sorumlu tutulmasında kritik bir rol oynuyor.

Kripto Para Sektörüne Etkisi

Kripto para birimi işlemleri bir dereceye kadar anonimlik sunarken, büyük miktarlarda paranın hareketi hala izlenebilir durumda ve yetkililer çalınan fonları blok zincirinde takip edebiliyor. Ancak bu fonların kurtarılması ve daha fazla hırsızlığın önlenmesindeki zorluk devam ediyor.

Siber suçlular tekniklerini geliştirmeye devam ettikçe, kripto para endüstrisinde gelişmiş siber güvenlik önlemlerine ve dikkatli izlemeye duyulan ihtiyaç daha da kritik hale geliyor.

Daha Geniş Bir Siber Suç Kampanyası

Genellikle Lazarus Grubuyla bağlantılı olan Kuzey Koreli siber aktörlerin, devlet operasyonlarını finanse etmek için siber suçlara girişme geçmişi var. Grup, finansal kurumlara, kripto para borsalarına ve kritik altyapılara yönelik siber saldırılar da dahil olmak üzere birçok yüksek profilli siber saldırıyla ilişkilendiriliyor. Bu faaliyetler genellikle uluslararası yaptırımları atlatmaya ve rejim için yasa dışı gelir elde etmeye yönelik daha geniş bir stratejinin parçasıdır.

DMM’ye yapılan saldırı, ulus devletler tarafından desteklenen siber suçluların, kuruluşlar içindeki güvenlik açıklarından yararlanmak için sosyal mühendislik ve kötü amaçlı yazılım gibi gelişmiş taktikleri nasıl kullanabileceğinin önemli bir örneğidir. Bu durumda, saldırının başarısı kısmen siber aktörlerin devam eden meşru bir işlemi manipüle etme yeteneğinden kaynaklanıyordu; bu da finans ve kripto para sektörlerinde faaliyet gösteren işletmelere yönelik riskleri gösteriyor.

Siber Suçlarla Mücadeleye Yönelik Çabalar Sürüyor

FBI, DC3, NPA ve diğer uluslararası ortaklar, Kuzey Kore’nin siber faaliyetlerini soruşturma ve ifşa etme konusundaki kararlılığını sürdürüyor. Çabaları gelecekteki saldırıları önlemeye, çalınan varlıkları takip etmeye ve sorumluları sorumlu tutmaya odaklanıyor. Bu hırsızlık önemli bir mali kayıpla sonuçlansa da, aynı zamanda daha geniş kapsamlı siber suç sorununu ve bu büyüyen tehditlerle mücadele etmek için uluslararası işbirliğinin sürdürülmesinin önemini de vurguluyor.

Soruşturmalar devam ederken kolluk kuvvetleri, kripto para şirketlerini ve diğer finansal kurumları siber güvenlik savunmalarını güçlendirmeye ve sosyal mühendislik ve diğer kötü amaçlı taktiklere karşı koruma sağlamak için daha sağlam önlemler uygulamaya çağırıyor. DMM saldırısı, siber tehditlerin gelişen doğasının ve sürekli değişen dijital ortamda proaktif güvenlik stratejilerine olan ihtiyacın net bir hatırlatıcısı olarak hizmet ediyor.

Kuzey Koreli siber aktörlerin DMM’den 308 milyon dolar çalması, dijital dünyada gelişen tehdit ortamının önemli bir hatırlatıcısıdır. Soruşturmalar devam ederken yetkililer bu yasa dışı faaliyetleri açığa çıkarma ve daha fazla saldırıyı önleme konusundaki kararlılığını sürdürüyor.



Source link